خانه » CVE-2025-8819
هشدار‌های سایبری

CVE-2025-8819

Linksys RE6250/RE6300/RE6350/RE6500/RE7000/RE9000 setWan stack-based overflow

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 177 بازدید
هشدار سایبری CVE-2025-8819
  • شناسه CVE-2025-8819 :CVE
  • CWE-121, CWE-119 :CWE
  • yes :Advisory
  • منتشر شده: آگوست 10, 2025
  • به روز شده: آگوست 10, 2025
  • امتیاز: 8.8
  • نوع حمله: Stack-based Buffer Overflow
  • اثر گذاری: Arbitrary code execution(ACE)
  • حوزه: تجهیزات شبکه و امنیت
  • برند: Linksys
  • محصول: Linksys RE router
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

آسیب‌پذیری سرریز بافر مبتنی بر پشته (Stack-Based Buffer Overflow) در روترهای Linksys به‌دلیل عدم اعتبارسنجی ورودی پارامتر staticIp در توابع setWan و setLan و مسیر /goform/setWan ایجاد می‌شود. مهاجم از راه دور می‌تواند با ارسال یک درخواست HTTP دستکاری‌شده شامل رشته طولانی، سرور روتر را دچار کرش کرده و در سناریوهای پیشرفته، منجر به اجرای کد دلخواه شود.

توضیحات

آسیب‌پذیری CVE-2025-8819 از نوع سرریز بافر مبتنی بر پشته مطابق با CWE-121 و خرابی حافظه مطابق با CWE-119 است که در فایل باینری mod_form.so روترهای Linksys رخ می‌دهد. این ضعف در توابع setWan و setLan و مسیر /goform/setWan ایجاد می‌شود، جایی که ورودی کاربر برای پارامتر staticIp (آدرس IP ایستا) بدون بررسی طول یا محدودیت اندازه، مستقیماً به تابع nvram_bufset ارسال می‌شود. در تابع setWan، مهاجم می‌تواند رشته‌ای بسیار طولانی را به‌عنوان staticIp ارسال کند که بدون اعتبارسنجی، در NVRAM ذخیره می‌شود.

سپس، در تابع setLan، این ورودی ذخیره‌شده مستقیماً به یک متغیر لوکال روی پشته (Stack) کپی می‌شود که اگر طول آن بیش از اندازه بافر تعیین‌شده باشد، آدرس بازگشت تابع (Return Address) را بازنویسی می‌کند و منجر به سرریز پشته می‌گردد. این امر کنترل جریان اجرا را به مهاجم می‌دهد و می‌تواند باعث کرش سرور (DoS) یا اجرای کد دلخواه در زمینه فرآیند httpd (وب سرور روتر) شود.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با ابزارهایی مانند Burp Suite یا اسکریپت‌های Python، درخواست POST به /goform/setWan ارسال کند و پارامتر staticIp را با رشته‌ای مانند 192.168.1.13 و صدها “A” (برای پر کردن بافر) مقداردهی کند، سپس با فراخوانی setLan، سرریز را فعال نماید. کد اثبات مفهومی (PoC) به صورت عمومی منتشر شده است که همین نحوه بهره برداری را نشان می دهد. این حمله از راه دور و بدون نیاز به احراز هویت قابل انجام است، زیرا رابط وب Linksys RE معمولاً روی شبکه LAN بدون نیاز به ورود در برخی مسیرها قابل دسترسی است و در صورت پیکربندی نادرست یا فوروارد شدن پورت، از اینترنت نیز قابل سوءاستفاده خواهد بود. در یک سناریوی واقعی، مهاجم ابتدا با ابزارهایی مانند Nmap دستگاه‌های Linksys را شناسایی کرده و سپس درخواست‌های مخرب را ارسال می‌کند. پیامدهای امنیتی شامل تاثیر بالا بر محرمانگی با دسترسی به لاگ‌ها یا تنظیمات ذخیره‌شده، یکپارچگی با تغییر تنظیمات شبکه یا نصب بدافزار و در دسترس‌پذیری با کرش روتر و توقف سرویس است. تاکنون شرکت Linksys هیچ گونه پچ یا به روزرسانی رسمی برای این آسیب پذیری منتشر نکرده است.

CVSS

Score Severity Version Vector String
8.7 HIGH 4.0 CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P
8.8 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R
8.8 HIGH 3.0 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R
9.0 2.0 AV:N/AC:L/Au:S/C:C/I:C/A:C/E:POC/RL:ND/RC:UR

لیست محصولات آسیب پذیر

Versions Product
affected at 20250801 RE6250
affected at 20250801 RE6300
affected at 20250801 RE6350
affected at 20250801 RE6500
affected at 20250801 RE7000
affected at 20250801 RE9000

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Linksys router را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
1,510 site:.ir “Linksys router” Linksys router

نتیجه گیری

این آسیب‌پذیری با شدت بالا در روترهای Linksys ریسک سرریز بافر مبتنی بر پشته و در نتیجه خرابی حافظه و اجرای کد دلخواه را از طریق ورودی‌های وب غیرمعتبر افزایش می‌دهد. بهره‌برداری می‌تواند موجب کرش کامل دستگاه، قطع سرویس شبکه و حتی کنترل روتر از سوی مهاجم شود. با توجه به عدم انتشار پچ رسمی و وجود PoC عمومی، اجرای اقدامات زیر برای کاهش ریسک و جلوگیری از بهره‌برداری ضروری است:

  • بررسی به روزرسانی و جایگزینی: به‌طور منظم وب‌سایت Linksys را برای دریافت نسخه‌های جدید بررسی کنید. در صورت نبود پچ رسمی، استفاده از مدل‌های جدیدتر یا دستگاه‌های دارای پشتیبانی امنیتی توصیه می‌شود.
  • محدودسازی دسترسی مدیریتی: دسترسی به رابط وب مدیریتی را فقط به شبکه داخلی محدود کنید، از HTTPS با احراز هویت قوی استفاده کنید و با فعال‌سازی فایروال، هرگونه دسترسی خارجی به پورت‌های مدیریتی (80/443) را مسدود نمایید.
  • فیلتر و کنترل ورودی‌ها: در صورت امکان، پروکسی معکوس (Reverse Proxy) در شبکه داخلی برای محدودکردن اندازه ورودی‌ها و جلوگیری از ارسال درخواست‌های غیرعادی به توابع مدیریتی استفاده کنید.
  • نظارت و ثبت لاگ: لاگ‌های سرویس مدیریتی روتر را به سرور مرکزی ارسال کرده و با استفاده از سامانه‌های تشخیص نفوذ، الگوهای عملکردی مشکوک مانند درخواست‌های غیرمعمول یا حجم بالای POST را شناسایی نمایید.
  • ایزوله‌سازی شبکه: روترهای توسعه‌دهنده شبکه (Range Extenders) را در یک VLAN جداگانه قرار دهید و سطح دسترسی آن‌ها به اینترنت را محدود کنید تا مسیر حمله از بیرون کاهش یابد.
  • تست نفوذ منظم: با استفاده از ابزارهای استاندارد تست امنیتی، وضعیت سرویس‌های مدیریتی روتر را بررسی کرده و نقاط ضعف احتمالی را در محیط کنترل‌شده شناسایی و برطرف کنید.
  • آموزش کاربران: مدیران شبکه را نسبت به ریسک‌های ناشی از فریم‌ورهای قدیمی و لزوم جداسازی تجهیزات IoT از شبکه اصلی آگاه کنید.

اعمال فوری محدودیت‌های دسترسی، تقویت نظارت و جداسازی شبکه می‌تواند ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور قابل‌توجهی کاهش دهد و امنیت روترهای Linksys را در برابر حملات از راه دور افزایش دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم از راه دور می‌تواند با ارسال درخواست HTTP دستکاری‌شده به مسیر /goform/setWan، بدون نیاز به احراز هویت، به روتر دسترسی اولیه پیدا کند. این ورودی آلوده باعث سرریز بافر مبتنی بر پشته و امکان اجرای کد دلخواه می‌شود.

Execution (TA0002)
با فعال شدن سرریز بافر، مهاجم قادر است کد دلخواه خود را در زمینه فرآیند httpd اجرا کند. بهره‌برداری از این ضعف کاملاً خودکار و بدون نیاز به تعامل کاربر است.

Privilege Escalation (TA0004)
اجرای کد در سطح کاربر httpd رخ می‌دهد؛ افزایش دسترسی مستلزم بهره‌برداری از ضعف‌های دیگر سیستم است.

Defense Evasion (TA0005)
مهاجم می‌تواند ورودی‌های مخرب را به‌گونه‌ای مهندسی کند که از تشخیص آنتی‌ویروس‌های سنتی یا signature-based عبور کند.

Credential Access (TA0006)
به صورت مستقیم دسترسی به credentialها فراهم نمی‌شود، اما اجرای کد دلخواه امکان جمع‌آوری اطلاعات ذخیره‌شده در روتر یا لاگ‌ها را می‌دهد.

Discovery (TA0007)
مهاجم می‌تواند اطلاعات سیستم و پیکربندی روتر را جمع‌آوری کرده و نقاط حساس برای حرکت بعدی را شناسایی کند.

Collection (TA0009)
مهاجم می‌تواند داده‌های موجود در حافظه، تنظیمات ذخیره‌شده یا لاگ‌های مدیریتی را جمع‌آوری کند.

Exfiltration (TA0010)
اطلاعات جمع‌آوری‌شده می‌تواند از طریق کانال‌های شبکه‌ای استاندارد (HTTP/S, FTP) به مکان مهاجم منتقل شود.

Impact (TA0040)
سرریز بافر مبتنی بر پشته باعث خرابی حافظه، اجرای کد دلخواه (ACE) و قطع سرویس (DoS) می‌شود. موفقیت بهره‌برداری تأثیر بالایی بر محرمانگی، یکپارچگی و دسترس‌پذیری سیستم دارد.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-8819
  2. https://www.cvedetails.com/cve/CVE-2025-8819/
  3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8819
  4. https://vuldb.com/?submit.626683
  5. https://vuldb.com/?id.319353
  6. https://vuldb.com/?ctiid.319353
  7. https://github.com/wudipjq/my_vuln/blob/main/Linksys1/vuln_53/53.md
  8. https://github.com/wudipjq/my_vuln/blob/main/Linksys1/vuln_53/53.md#poc
  9. https://nvd.nist.gov/vuln/detail/CVE-2025-8819
  10. https://cwe.mitre.org/data/definitions/121.html
  11. https://cwe.mitre.org/data/definitions/119.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.